Joomla tem um inconveniente, a url de administração. Qualquer usuário da web após identificar que o website foi desenvolvido em Joomla, pode acessar a url de administração do website, digitando (seusite.com.br/administrator) . Isso faz com que os "crackers" poupem tempo ao tentar um ataque do tipo força bruta em que tentam descobrir o usuário e senha de administração, uma vez que o Joomla entrega de bandeja o local em que é efetuado o login, ou seja, /administrator.
Existem várias formas de se implementar segurança extra no momento de efetuar o login no backend do Joomla. Algumas são caras (token), outras inviáveis em ambientes comerciais, ficando mais restrita a ambientes corporativos (autenticação pelo Apache). Porém, existe um plugin livre e gratuito de fácil configuração e que resolve este problema.
Existem várias formas de se implementar segurança extra no momento de efetuar o login no backend do Joomla. Algumas são caras (token), outras inviáveis em ambientes comerciais, ficando mais restrita a ambientes corporativos (autenticação pelo Apache). Porém, existe um plugin livre e gratuito de fácil configuração e que resolve este problema.
A dica veio de um tópico da comunidade SGC Joomla e eu fui atrás para testar e disponibilizar um tutorial de utilização para vocês.
O plugin de autenticação jSecure foi desenvolvido pela seguinte equipe: (Ajay Lulia, Bhavin Shah, Kamlesh Rewapati). Informações:
O plugin de autenticação jSecure impede o acesso a página de entrada da administração (back-end) sem a chave de acesso adequado.
Etapas de instalação:
1. Faça Login para área de administração
2. Extensões -> Instalar/Desinstalar -> selecione o arquivo plgSystemJSecure.zip.
3. Clique em Instalação e carregamento.
Uma vez que o plugin está instalado há poucos passos manuais que precisam ser seguidos para fazer funcionar o plugin:
1. Ir a plugins-> System
3. Clique em System - link Autenticação jSecure
4. Ativar o plugin e configurar os parâmetros opcionais especificados abaixo
5. Salve o plugin.
A Chave padrão para acessar a página de login é "jSecure" e você deve alterá-la para a sua chave, observe a imagem acima.
Observação: A chave é case sensitive (sensível a caracteres maiúsculos e minúsculos) e pode conter valores alfanuméricos (RECOMENDADO). POR FAVOR, não use os valores numéricos
Como usar:
nome http://www.site/administrador/
keyname: nome da chave é a chave especificada no módulo de autenticação jSecure.
Definir os parâmetros:
O plugin de autenticação jSecure fornece os seguintes parâmetros:
Key: Esta é a chave de segurança que será utilizado para conceder acesso à área de administração.
Redirecionar Opções: Este parâmetro especifica a ação a tomar se a chave não corresponde. Existem duas opções:
* Índice página de redirecionamento para: usuário não autorizado Redirect back to home page
* Custom Caminho: Fornecer caminho relativo para a página personalizada, por exemplo 404 página não encontrada.
(*) erro ao tentar acessar a url /administrator
(*) acesso com sucesso ao utilizar a chave criada
Você pode baixar o plugin no website extensoesjoomla.com.br
Você pode baixar o plugin no website extensoesjoomla.com.br
Fonte: Joomla Brasília!
16 comentários:
cara muito bom ... valeu mesmo pela dica.. funcionou perfeito
Ola
Eu estava maravilhada com o plugin quando ve a explicacao, instalei o plugin, no key coloquei admin so para testar e tentei aceder ao backend e continua acesedendo a unca coisa que mudou e' que nao pedio me a senha.
Sera que fiz algo errado?
mesmo fazendo meusite/administrator/admin
nao tenho acesso ao back end mto pelo contrario fala que nao encontrou mesmo a pagina
GOstaria mto de esconder a mha pasta adminnistrator
Vc precisa instalar o plugin, depois vai em administratar plugins, clica no System - jSecure Authentication, habilita o plugin e em Key digita uma palavra. Eu escolhi, por exemplo, jSeguro. Beleza. Vc depois digita o endereço do teu site /administrator/?jSeguro que entra. Importante, vc precisa colocar a interrogação.
Espero que funcione, qualquer coisa grita.
Abs
Ola amigo boa noite, vc tem esse plugin já baixado e que ele agora é pago, foi até retirado do joomla.org
Meu nome é antonio, email paidekevin@hotmail.com
Cara muito bom mesmo
parabens por essa dica, é sempre bom saber que existe pessoas preocupadas com a sua segurança e com as dos outros!
Cara Parabens gostei muito bom e funciona direitinho :D
Bom dia, pessoal. Instalei o jSecure, troquei a senha e agora não consigo entrar na administração do site. Talvez tenha errado ao digitar e senha pretendida. Como faço para encontrá-la ou mudá-la. Espero por alguma dica e agradeço muito. Fernando.
Bellini, tudo bem?
Vc terá que entrar pelo banco de dados e mudar a senha lá.
Isto também já aconteceu comigo e foi assim que procedi.
Abraços
Obrigado, Bezerra. Vou tentar.
Um abraço.
Obrigado, Bezerra. Vou tentar.
Um abraço.
PS. esqueci de digitar meu nome na mensagem anteriro.
Muito bom em....aqui funcionou certinho!
Bezerra o outro anônimo fez uma pergunta e vc não respondeu: exatamente o que ele tá dizendo:
vc tem esse plugin já baixado é que ele agora é pago, foi até retirado do joomla.org, não tem mais esse plugin e ai o que fazer?
parabens funcioneou legal aqui pra mim, o interessante que o link para o para o arquivo ainda tem ele gratis, por que o plugin agora é pago.
Muito obrigado.
Postar um comentário